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基于 SecOC 的 车 载 网 络 通信 安全 模型 研究 
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Jj] 要 :车载 电 子 设 备 的 增加 使 得 车 载 网 络 面 对 越 来 越 多 的 威胁 。 车 载 网络 中 电子 控制 单元 (Electronic Control Unit, 
ECU) 无 认证 、 控 制 器 局 域 网 络 (Controller Area Network, CAN) 通 信和 数据 无 加 密 等 缺陷 使 得 车 载 网 络 易 遭受 重 放 、ECU 
注入 、 中 间 人 伪造 消息 、 窃 听 等 恶意 攻击 ， 造 成 严重 后 果 。 针 对 现在 的 车 载 网 络 威 胁 现 提出 一 种 基于 SecOC 的 车 载 
网 络 安全 通信 模型 ， 该 模型 使 用 SM4 的 密码 算法 与 基于 Bkake2s 的 改进 密 钥 管理 ， 实 现 车 载 ECU 的 认证 和 车 载 网 
络 消息 的 加 密 与 认证 。 最 后 经 过 分 析 与 测试 ， 该 模型 可 以 保护 车 载 网 络 安全 并 更 高 效 。 
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Research on security model of vehicle network communication based on SecOC 


Zhang Yi, Li Feit, Zhang Senwei 
(School of Cyberspace Security, Chengdu University of information engineering, Chengdu 610200, China) 


Abstract: The increase of in-vehicle electronic equipment makes the in-vehicle network face more and more threats. The lack 
of authentication of the Electronic Control Unit in the in-vehicle network and the lack of encryption of the communication 
data of the Controller Area Network make the in-vehicle network vulnerable to replay, ECU injection, man-in-the-middle 
forged messages, eavesdropping, etc, Witch make serious consequences. Aiming at the current vehicle network threats, a 
vehicle network security communication model based on SecOC is proposed. This model uses the SM4 cryptographic 
algorithm and the improved key management based on Bkake2s to realize the authentication of the vehicle ECU and the 
encryption and authentication of the vehicle network message. Finally, after analysis and testing, the model can protect the in- 
vehicle network security and be more efficient. 
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hardware security moduel 


0 ”引言 生 的 会 话 密 钥 实现 ECU 间 身 份 认证 ， 但 是 两 两 认证 易 使 车 

i 载 通信 时 效 低 ，ECU 需要 保存 消息 ID 对 应 的 长 期 密 钥 ， 这 

车 端 威胁 复杂 ， 涉 及 众多 车 载 组 件 ， 文 献 [1] 中 阁 述 了 存在 泄露 风险 ; Nyurnberger 等 人 0 设计 了 一 种 vatiCAN 模 
H 


CAN 和 ECU 存在 的 多 种 安全 漏洞 ， 车 载 网 络 在 攻击 方式 多 型 使 用 长 期 密 钥 验 证 消息 ， 但 固定 密 钥 并 不 是 安全 策略 ， 且 
样 化 的 如 今 成 为 首 当 其 性 的 新 鲜 度 值 更 新 存在 概率 重 放 攻 击 漏洞 。Jo 等 人 02 在 

2016 年 ,汽车 开放 系统 架构 4.3(AUTomotive open system 文献 [10,11] 的 基础 上 提出 VulCAN, 但 其 MAC 验证 需要 加 倍 
architecture, AUTOSAR) 标准 中 提出 了 SecOC. 用 于 提高 的 通信 量 ， 消 息 ID 与 会 话 密 钥 绑 定 验证 的 方式 使 得 密 钥 管 
PDU(protocal data unit) 上 关键 数据 的 安全 性 ,保护 ECU 388 [i01 理 复 杂 。 


中 的 薄弱 点 。 周 其 


一 了 


SecOC 的 细节 将 在 1.1 节 说 明 。 此 后 , 国内 外 学 者 关于 SecOC 待 到 SecOC 出 现 后 ，Wu 等 人 03] 在 SecOC 中 使 用 2 £ 
模块 的 研究 尚 处 于 初步 探索 阶段 。 节 的 新 鲜 度 值 和 2 字 节 的 基于 AES 的 MAC 认证 码 ; 
国内 的 研究 中 , 文献 [3~8] 都 实现 了 SecOC 模块 中 的 ECU Rosenstattert14.15] 对 于 官方 SecOC 的 Profile 3 进行 了 一 定 的 修 


通信 。 吴 志 红 等 人 欠 基 于 CMAC 实现 MAC 认证 ， 但 没有 细 改 ， 在 其 基础 上 提出 了 Profile 4， 但 增加 了 车 载 网 络 的 通信 
节 说 明 数 据 帧 的 格式 ， 罗 峰 加 使 用 会 话 密 钥 加 密 通 信 消 息 ， 负担 , 易 引 起 混乱 ;Bellad 等 人 (9 将 CINNAMON 作为 SecOC 
但 ECU 需要 保管 多 个 密 钥 并 不 安全 ; 黄 大 权 多 将 会 话 密 钥 初 模块 的 继承 与 扩展 , 实现 数据 的 加 密 , 但 是 密码 管理 不 清晰 ; 
始 化 写 入 ECU, 造成 ECU 存储 压力 且 密 钥 易 丢失 ; PEE — Yang 等 人 (17 设计 了 KDC 风格 的 密 钥 分 发 协议 SKDC， 但 方 


于 CAMC-AES 截取 16 位 的 MAC 码 ， 安 全 性 有 限 ， 且 根据 ” 案 中 ECU 存储 和 计算 压力 过 大 ; Yalcin 等 人 0 在 硬件 中 实现 
数据 帧 信息 动态 从 本 地 密 钥 库 更 新 会 话 密 钥 会 造成 额外 的 计 ”AES 算法 与 SecOC 的 E2E 安全 通信 ,但 密 钥 存在 遗失 风险 。 
开销， 延迟 通信 ; 刘 妆 外 实现 了 车 载 CAN 通信 的 认证 与 加 可 见 基 于 SecOC 的 安全 模型 虽然 实现 了 消息 认证 与 验 
密 ， 但 ECU 存储 与 计算 压力 都 超过 现 有 框架 。 证 ， 但 依然 存在 以 下 问题 需要 解决 : 
国外 对 于 车 载 网 络 的 安全 通信 研究 较 早 , 在 SecOC 尚未 a) 明文 传输 ， 不 能 防 窃取 和 中 间 人 攻击 。 

E 出 时 ,已 有 学 者 设计 了 符合 AUTOSAR 架构 的 安全 通信 模 b) 会 话 密 钥 缺乏 安全 地 管理 。 
型 。B5hner 等 人 中 扩展 了 AES 用 于 数据 加 密 , 但 是 并 没有 具 c) 通信 ECU 缺乏 有 效 认证 手段 。 

本 描述 模型 的 流程 ， 并 且 软 件 形式 的 保护 不 完善 ， 缺 乏 密 钥 d) 保证 安全 性 时 ， 通 信 效 率 有 待 提升 。 
管理 ; Radu 等 人 Hl 提出 了 一 种 CAN 认证 协议 LeiA, 使 用 派 本 研究 基于 SecOC 设计 一 种 车 载 网 络 安全 通信 模型 : E 
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先 根据 汽车 安全 完整 性 等 级 (Automotive Safety Integrity ”的 ECU 节点 ,包括 信号 识别 ECU, 轮胎 压力 监测 系统 (TPMS) 
Level, ASIL) ECU 划分 安全 等 级 ， 其 次 在 点 火 阶段 使 用 等 。ECUs 3 以 协同 控制 为 主 的 ECU 节点 ， 包 括 自动 变速 器 
Blake2s 改进 的 PBKDF2 算法 来 计算 会 话 密 钥 ， 接 着 再 通信 e 央 (ECT)、 引 擎 管理 系统 (EMS)、 自 动车 身 水 平 控制 (ALC) 
阶段 使 用 SM4 加 密 解密 通信 数据 、Blake2s 计算 验证 MAC， 等 。 ECUs 4 以 安全 相关 功能 为 主 的 ECU 节点 ， 包 括 安 全 气 
最 后 分 析 并 验证 模型 的 安全 性 与 效率 。 圳 系统 (SRS)、 汽 车 安全 辅助 系统 (SAS)、 自 动 防 抱 死 刹车 系 


LE 


统 (ABS) 等 。 
1 ”相关 知识 " 表 1 ECU 等 级 划分 
1.1 SecOC Tab. 1 ECU classification 
SecOCDI 提 供 完 整 性 与 真实 性 保障 的 Secured I-PDU， 它 ASIL 等 级 ECU 类 型 通信 设计 安全 等 级 

包含 一 个 Authentic I-PDU, Freshness Value 以 及 Authentictor， A ECUs 1 Blake2s/2B NSLO 
如 图 1 所 示 , 其 中 Authentic I-PDU 是 一 个 任意 的 AUTOSAR B ECUs 2 Blake2s/4B NSLI 
I-PDU, Authentictor 是 消息 认证 码 MAC 或 者 签名 , Freshness C ECUs 3 SM4+Blake2s/6B NSL2 
Value 是 新 鲜 度 值 ， 分 为 计数 器 或 时 间 戳 两 种 。 D ECUs 4 SM4+Blake2s/8B NSL3 


2.2 改进 的 PBKDF2 
PBKDF2 是 RSA 实验 室 在 PKCS#5 标准 中 提出 的 一 种 


密 钥 派 生 函 数 , 该 函数 基于 伪 随 机 函数 HMAC-SHAT1 进行 多 
图 1 Secured I-PDU 结构 图 轮 迭 代 ， 输 出 不 定 长 度 的 密码 序列 。PBKDF2 以 其 快速 与 安 
Fig. 1 Structure diagram of secured i-pdu 全 性 应 用 于 诸多 场景 ， 如 区 块 链 中 的 分 层 确定 性 钱包 ， 
1.2 HSM OpenSSL 或 其 他 物 联 网 环境 等 。 但 是 PBKDF2-HMAC-SHAI1 
v 硬件 安全 模块 (Hardware Security Module, HSM)JÉ —^ 存在 以 下 问题 
一 用 于 管理 密 钥 和 提高 数据 加 解密 处 理 速度 的 物理 计算 设备 ， 1) HAMC 中 的 填充 计算 存在 元 余 问题 
通常 形 为 插入 式 卡片 或 外 接 设备 ， 能 够 为 数据 提供 安全 性 保 2) 相 较 而 言 ，SHA1 存在 安全 性 低 的 问题 ， 需 要 足够 的 
障 09]。 硬 件 安全 模块 提供 比 软件 更 高 级 别 的 安全 ， 具 有 不 可 和 迭代 次 数 才 可 以 保证 密 钥 安全 性 ， 且 低 安 全 度 的 密 钥 易 被 


复制 性 , 抗 渗透 性 , BLIEXATIXETE A Sick. 所 以 使 用 HSM 可 GPU 阵列 或 彩虹 表 破 解 。 
以 更 快 地 计算 的 同时 ， 也 可 以 提供 更 高 的 安全 性 ， 并 且 硬 件 现 有 的 优化 方案 中 ， 基 于 硬件 的 加 速 ， 或 者 基于 结构 优 
安全 模块 在 设计 之 初 ， 作 为 一 种 外 接 式 设备 ， 天 生 适 合 现在 ”化 的 加 速 C2, 或 为 了 安全 性 的 提升 使 用 SHA-256 算法 等 并 不 
车 联网 环境 。 例 如 欧洲 资助 的 项 目 之 一 ，EVITA 为 车 载 网 适合 车 联网 中 计算 性 能 受 限 的 环境 和 高 安全 要 求 ， 尤 其 是 官 
络 安全 开发 了 HSM 模块 ，HSM 采用 专用 硬件 实现 ， 优 化 四 方 推荐 算法 迭代 轮 数 达到 10000 次 才 具 备 较 高 的 安全 性 ， 所 


] 


件 之 后 ， 计 算 速度 快 于 软件 ， 有 具有 低 延 迟 ， 高 性 能 和 节约 成 ”以 本 研究 中 提出 了 基于 Blake2s 的 改进 PBKDF2 算法 ， 
本 的 特点 。 本 研究 中 使 用 已 经 写 入 算法 并 优化 固件 的 HSM 完 Blake2s-PBKDF2. 
成 相关 计算 。 Blake2[31 是 SHA-3 决赛 的 入 围 者 Blake 的 优化 版 本 ， 
1.3 CAN-FD 安全 性 不 低 于 最 新 标准 的 SHA-3， 但 计算 速度 快 于 SHA-1。 
CAN-FD(CAN with Flexible Data-Rate) 是 BOSCH 推出 的 “所 以 Blake2 更 适合 作为 密码 哈 希 算 法 的 伪 随 机 函数 
CAN 改进 版 ， 可 支持 最 高 64 字 节 长 度 的 数据 载荷 ， 并 且 可 (Pseudorandom Function, PRF)P0， 并 且 Blake2 在 硬件 中 已 可 
调 速率 最 高 达 8MbpsP2o。 文 献 2] 中 表明 ,AUTOSAR 对 CAN- 以 实现 24。 其 中 Blake2s 是 Blake2 针对 32 位 平台 优化 的 计 
FD 的 支持 度 与 推荐 度 非常 高 ,CAN-FD 具有 更 快 的 对 象 池 传 ” 算 模式 , 更 适合 车 载 系 统 。 在 本 研究 中 ， 本 文 拟 使 用 Blake2s 


输 、 更 低 的 总 线 负载 使 用 、 更 短 的 最 坏 情况 响应 时 间 和 更 低 代替 HMAC-SHA-1 作为 PBKDF2 的 PRF 函数 ， 在 计算 受 限 
的 抖动 .CAN-FD 的 引入 是 在 正确 的 时 间 进 行 的 正确 的 创新 ， 的 车 联网 环境 中 ， 本 算法 可 以 使 用 更 低 的 迭代 轮 数 实现 更 高 
该 技术 能 够 跟 上 汽车 以 太 网 技术 带 来 的 未 来 通信 机 制 和 网 络 。 的 安全 性 ， 同 时 计算 效率 更 高 ， 同 时 Blake2s 可 选 长 度 1 至 
概念 。 32 字 节 ， 更 适用 于 分 级 策略 Blake2s-PBKDF2 伪 代 码 描述 


如 下 : 
2 ”模型 设计 算法 1 Blake2s-PBKDF2 
2.1 ECU 安全 等 级 划分 输入 : Password,Salt,Iterations,Dklen。 
划分 ECU 等 级 是 为 了 更 好 地 利用 总 线 的 资源 ， 使 得 车 输出 : DK[6: DKlen]. 
载 网 络 通信 效率 高 ， 时 延 低 ， 根 据 ECU 的 安全 需求 ， 对 数 a) r = ceil(DKlen/Hlen). 
据 帧 进行 CRC 校 验 ，HMAC 验证 或 者 数据 加 密 。WooB0 基 // 执行 块 数 ，Hlen 为 PRF 函数 得 到 的 长 度 ， 推 荐 并 行程 度 为 
了 ASIL) b) for 1 to r: T = Blake256(Password, Salt || i); U = T. 
设计 了 ASLO-3 四 个 等 级 的 ECU 划分 方案 。 同 时 刘 妆 名 也 根据 c) for 1 to Iterations: T = Blake256(Password, T); U = 
ASIL 规则 划分 了 数据 帧 安全 性 等 级 ， 但 可 惜 的 是 CAN 数据 U XOR T。// 此 c) 步 又 代码 在 b) 循 环 中 执行 
帧 的 长 度 限制 了 安全 等 级 的 细节 设计 。 d) DK = DK || U。 执 行 后 转 步骤 b) 
ASIL 是 ISO 26262 中 对 车 辆 进行 危害 分 析 与 风险 评估 e)return DK[0: DKlen] 
(hazard analysis and risk assessment, HARA) £3 SJ Ip] T 4H 2.3 ECU 自 检 
关 和 危害 进行 识别 归 类 的 方法 。ASIL 制定 了 四 级 的 程度 划分 ， 为 了 防止 车 辆 ECU 程序 中 被 植 入 木马 ，ECU 固件 被 刷 
RIADIA A B, CHD. 本 研究 依据 ASIL 将 ECU 划 入 恶意 代码 ,或 者 车 载 网 络 中 被 接 入 非法 信息 收发 设备 ， 所 
分 如 表 1 所 示 。 以 车 载 网 络 的 防护 中 ， 对 ECU 节点 进行 认证 。Choi23 利 用 
ECUs 1 以 服务 为 主 的 ECU 节点 ， 包 括 座 椅 ECU、 电 — CAN 的 电信 号 特性 来 区 分 发 送 方 节点 ， 但 方案 对 于 ECU E 


子 仪表 盘 (EIS)、 收 音 机 等 和 以 感知 功能 为 主 的 ECU 节点 ， 件 刷新 和 ECU 被 劫持 没有 有 效 的 防护 。 本 研究 设计 了 一 种 
包括 速度 感知 ECU、 夜 视 ECU 等 。 ECUs 2 以 智能 决策 为 主 。 在 汽车 启动 时 进行 ECU 检测 的 方案 , 拟 在 点 火 阶 段 完 成 ECU 
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节点 哈 希 指纹 值 的 验证 。 汽 车 启动 时 ECU 自 检 方 案 如 下 : 
a) 在 汽车 出 厂 时 ， 计 算 各 ECU 节点 的 固件 与 软件 hash 
值 ， 并 将 节点 ECU: 的 hash 值 与 其 ID， 即 EID: 对 应 存储 在 
ER T-Box 中 的 不 可 帘 改 存储 介质 中 。 其 中 HMAC 表示 
Blake2s 算法 ，EFWi 表示 ECUi; 的 固件 软件 代码 。 
MAC; -HMAC(EFW, || EID,) (1) 
b) 汽车 启动 时 ，ECUi 将 自己 的 软件 固件 数据 和 ECUID; 
经 过 CANIF 模块 传递 和 CANTP 模块 封装 后 , 成 为 I-PDU 格 
式 ， 由 PDU Router 转发 至 SecOC 模块 ，SecOC 将 该 LIPDUi 
传 进 HSM 设备 中 。HSM 设备 将 Blake2s 计算 的 hash 值 返 
至 SecOC 。 
c)SecOC 将 hash 值 经 过 RTE 层 传递 至 T-Box, T-Box 根 
据 本 地 存储 的 出 厂 哈 希 值 对 比 , 若 对 比 通过 , 则 返回 ID 与 通 
过 Flag， 若 对 比 失败 ， 则 返回 Error 报警 信息 。 
2.4 会 话 密 钥 管理 
使 用 固定 密 钥 加 密 数据 并 不 可 取 ， 所 以 本 研究 中 不 使 用 
长 期 的 出 厂 密 钥 ， 在 车 辆 启动 时 根据 车 内 环境 信息 的 真 随机 
数 使 用 Blake2s-PBKDF2 算法 派生 出 会 话 密 钥 ， 并 设置 过 期 
时 间 ( 车 辆 启动 至 熄火 ) 保 存在 HSM 的 安全 存储 介质 内 。 该 存 
储 介质 只 有 HSM 内 固定 的 程序 可 读 ，HSM 模块 可 设置 在 车 
载 TBOX 中 , 不 增加 额外 硬件 成 本 。 汽车 启动 时 密 钥 生成 方 
案 设计 如 下 : 
a) 汽车 点 火 启动 时 ，HSM 模块 取 电 池 信 号 特征 ， 选 取 
128bits 长 度 为 随机 序列 ， 选 取 16bits X salt 值 。 
b) 调用 HSM 内 已 经 编译 好 的 Blake2s-PBKDF2 算法 模 
块 ， 计 算 DK。 其 中 BKDF 表示 改进 的 Blake2s-PBKDF2 算 
ik, random 为 随机 序列 ，salt 为 盐 值 ，c 为 函数 内 部 执行 轮 
数 ，dkLen 为 期 望 输出 的 密 钥 长 度 。 
DK=BKDF(random,saltc,dklen) (2) 
c) 步骤 b) 中 得 到 的 DK 长 度 为 256bits， 取 高 128bits 为 
车 载 网络 的 会 话 加 密 密 钥 (Session Key, SK), 保存 在 HSM 的 
安全 存储 内 。 
会 话 密 钥 分 发 需要 考虑 安全 性 与 效率 性 ， 故 而 文献 [8] 使 
用 RSA 证 书 分 发 的 方式 不 适用 于 车 载 网 络 ， 文 献 [5] 的 组 会 
话 密 钥 致 使 经 过 多 轮 密 钥 分 发 才能 通信 ,文献 [7,16] 在 SecOC 
中 添加 了 数据 加 密 的 操作 , 但 存在 密 钥 管 理 问 题 。 文 献 [21] 设 
计 的 密 钥 分 发 过 程 较为 复杂 ， 每 一 个 ECU 都 要 与 网 关 交 互 
数 次 ,通信 和 量 较 大 。 本 研究 采用 与 文献 [17] 相 近 的 KDC 风格 
的 密 钥 分 发 协议 。 本 研究 中 引入 密 钥 服务 器 (Key Server, KS) 
来 分 发 SK，KS 设置 在 TBOX 中 ， 与 HSM 模块 集成 。 假 设 
需要 加 密 的 ECU 与 KS 已 预 共享 密 钥 Keyi:，Keyi 表示 ECUI 
的 长 期 密 钥 ， 存 储 在 ECU 的 安全 固件 中 ，KS 的 安全 存储 中 
存 有 ECU 的 id 5 Key 的 对 照 表 。 
密 钥 分 发 步骤 如 下 
a) KS 一 ECUi: KS 将 执行 式 (3) 得 到 结果 send msgi, Jf 
将 其 广播 至 车 载 网 络 中 ,其 中 r 为 一 个 随机 数 , Enc 表示 SM4 
算法 。 


nu 


send msg, =r || Ency,, (SK) | HMAC(SK ||r) (3) 

b) ECUi 一 KS: ECU; 接收 到 send_msgi 后 , 使 用 密 钥 Keyi 
解密 消息 , 获取 SK 并 验证 , 验证 过 后 ECUi 将 执行 式 (4) 得 到 
结果 ack_msgi 并 人 返回， 车 验证 不 通过 或 未 获取 密 钥 ， 将 执行 式 
(5) 得 到 结果 err_msgi 并 返回 。 其 中 EIDi 表示 ECU; H ID 标识: 


ack _ msg; = Ency,, (r +1 || EID;) || HMAC(r +1 || EID;) (4) 
err msg; = EnCga, (r -1|| EID, ) | HMAC(r —1 || EID, ) (5) 
c) KS 服务 器 根据 ECUi 的 返回 结果 决定 是 否 重新 执行 密 


钥 分 发 操作 。 
2.5 ECU 通信 流程 设计 
保护 ECU 通信 分 为 发 送 端 和 接收 端 ， 本 研究 中 采取 符 
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合 SAE J1939 规范 的 64B CAN-FD 数据 帧 格式 ， 符 合 J1939 


标准 的 PDU 格式 如 图 2 所 示 。 


Fig.2 PDU format diagram 

a) 发 送 端 消息 处 理 过 程 如 下 : 

(a) ECU 数据 帧 的 层 层 传递 : CAN Driver 收取 ECU 的 报 
文生 成 L-PDU，L-PDU 进入 CAN Interface 进行 抽象 处 理 成 
H N-PDU, N-PDU 3E A CAN Tp 生成 IPDU, PDUR 模块 将 
需要 添加 认证 的 IPDU 路 由 至 SecOC 模块 。 

(b) SecOC 模块 初始 化 缓存 区 后 识别 PDU 中 的 源 地 址 ， 
判断 该 发 送 端 ECU 属于 NSL0-3 这 四 个 级 别 中 的 那个 级 别 ， 
并 分 别 执行 对 应 的 操作 以 生成 MAC. 或 者 密 文 : 

NSLO fü NSL1: 此 级 别 中 的 数据 帧 需要 添加 MAC 码 以 
保证 其 完整 性 检验 , 在 本 研究 中 , 使 用 更 加 快捷 的 Blake2s 计 
算 。SecOC 将 以 下 数据 传输 至 连接 的 优化 固件 的 HSM 中 : 
I-PDU 的 标识 符 ID, ECU 数据 和 完整 的 新 鲜 度 值 ，HSM 接 
收 这 三 个 数据 之 后 ，HSM 使 用 以 下 公式 计算 MAC 码 。 其 中 
PID: 为 该 PDU 标识 符 , DATAi 为 PDU 中 携带 的 数据 , FV 为 
完整 的 新 鲜 度 值 , dklen 为 期 望 得 到 的 长 度 , 此 处 为 2 或 者 4。 
Authenticator=HMAC (PID, || DATA, || FV,dklen) (6) 

NSL2 fü NSL3: 此 部 分 的 Secured I-PDU 构建 过 程 中 需 
要 保护 数据 防 窃取 , 与 上 述 步骤 中 不 同 的 是 ，Blake2s 期 望 得 
到 的 长 度 不 一 ，ECU 需要 先 执行 SM4 加 密 算 法 得 到 加 密 的 
数据 ， 将 密 文 和 MAC 传输 至 SecOC 模块 。 式 (6) 中 的 dklen 
分 别 为 6 或 8。 


Cipher = Enc (DATA, ) (7) 
Authenticator-HMAC( PID, || Cipher, || FV, dklen) (8) 
(c) SecOC 中 新 鲜 度 值 管理 器 (Freshness Manager, FVM) 
提供 接口 收发 字 节 数组 形式 的 新 鲜 度 值 ， 在 本 研究 中 ， 新 鲜 
度 值 以 计数 器 的 形式 出 现 , 并 将 新 鲜 度 值 截取 长 度 设置 为 8， 
所 以 在 secured I-PDU 构建 的 过 程 中 ， 将 截取 新 鲜 度 值 的 低 
8bits 作为 参数 添加 在 报 文 中 。 只 有 当 SecOC 调用 PduR 模块 
进行 进一步 路 由 时 ， 该 新 鲜 度 值 计数 器 递增 。 
(d) 缓存 区 将 按照 如 下 公式 构造 Secured I-PDU: 
SecuredIPDU = 
SecurredIPDUHeader || Cipher || TruncatedFV || Authenticator (9) 
(e) 当 缓存 区 中 构造 完成 Secured I-PDU 后 , SecOC 模块 
将 Secured I-PDU 交 由 PduR 路 由 (此 时 计数 器 递增 ) 。 
b) 接收 端 消 息 处 理 过 程 如 
(a) SecOC 为 每 一 个 Secured I-PDU 维护 一 个 验证 构建 计 
数 器 (Authentication Build Counter，ABC) 和 验证 尝试 计数 器 
(Authentication Verify Attempt Counter, AVAC), C9] 25 
为 0。 这 两 个 计数 器 将 参与 整个 Secured I-PDU 验证 过 程 。 
FVM 接收 来 自 Secured I-PDU 的 新 鲜 度 值 ， 在 内 部 查询 : Xy 
查询 后 无 返回 结果 ， 则 ABC 递增 , 不 执行 验证 尝试 , 反之 返 
值 为 可 恢复 错误 如 工作 栈 忙 碌 等 , Du] ABC 递增 ; 若 验证 构 
建 失败 ， 且 ABC 未 达到 阔 值 ， 则 重新 刷新 验证 过 程 ; 若 验 证 
构建 成 功 ， 但 验证 失败 ， 壁 如 MAC 验证 不 通过 ，AVAC 3$ 
曾 ，ABC BU 0; 若 对 新 鲜 度 函数 的 查询 返回 一 个 不 可 恢复 
的 错误 , 壁 如 新 鲜 度 配置 导致 的 系统 故障 , 或 者 ABC、AVAC 
达到 阔 值 ，SecOC 都 将 此 Secured I-PDU 移出 验证 缓存 区 并 
X38, 若 验 证 通过 ， 返 回 类 型 将 被 设置 为 SECOC VERIFI- 
CATIONSUCCESS 。 
(b) SecOC 模块 将 按照 如 下 方式 去 构建 验证 所 需 的 新 鲜 
度 值 (FreshnessVerifyValue, FVV): 由 于 本 研究 使 用 截断 的 新 


LH 
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鲜 度 值 ， 所 以 直接 从 非 完整 传输 的 构建 方案 开始 ， 首 先 ， 
AVAC 将 递增 , 接着 对 比 新 收 到 的 Secured I-PDU 中 的 截断 新 
鲜 度 值 (NewFreshnessValue，NFV) 与 上 次 验证 的 新 鲜 度 值 
(Old FreshnessValue, OFV), 若 NFV 大 于 OFV, 则 FVV=OFV 
hign bits | NEFEV， 反 之 FVV=OFV hign bits+l || NFV， 如 此 了 验 
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254 次 、255 项 ， 具 有 最 高 的 复杂 度 ， 根据 差分 密码 分 析 、 线 
性 密码 分 析 、 多 维 线性 密码 分 析 等 过 重 密码 分 析 技 术 测 试 ， 
SM4 拥有 足够 的 安全 宛 余 度 。 文 献 [24] 表 明 ，Blake2 对 旋转 
密码 分 析 、 和 迭代 差分 分 析 和 不 可 能 差分 分 析 等 具有 一 定 的 抗 
性 与 安全 元 余 度 。 


证 所 需 的 新 鲜 度 值 便 构 建 完成 
(c) 加 密 过 的 数据 将 由 ECU 自行 解密 , 解密 步骤 在 MAC 验 

证 通过 之 后 。 计 算 公式 如 下 ， 其 中 Dec 为 SM4 的 解密 算法 。 
DATA=Decsx (Cipher) (10) 

(d) SecOC 模块 为 MAC 验证 构造 数据 ， 与 MAC 生成 过 

程 一 致 ，SecOC 模块 通过 将 DataToAuthenticator 及 其 长 度 与 


定理 6 密 钥 安全 

证 明 本 研究 中 的 会 话 密 钥 在 车 辆 启动 至 熄火 期 间 有 效 ， 
128 位 的 密 钥 破 解 复杂 度 为 2”, 故而 会 话 密 钥 安 全 。 主 密 铀 
安全 性 可 使 用 VulCANI2 中 的 Sancus[?61 结 构 ， 使 用 受 保护 模 
块 (Protected Module Architectures，PMAs) 保 护 主 密 钥 安全 。 
PM 内 存 只 能 通过 特定 代码 段 访问 ， 该 代码 段 只 能 通过 单个 入 


从 Secured I-PDU 解析 的 MAC 及 其 长 度 传递 到 对 应 的 认证 
算法 中 来 验证 MAC， 在 HSM 中 完成 验证 的 计算 操作 。 
DataToAuthenticator — ( PDUID, || DATA, || FVV ,dklern) (11) 

(e) 验证 模块 验证 该 Secured I-PDU 的 MAC， 若 根据 传 
递 的 数据 计算 出 的 验证 MAC 5 Secured I-PDU 的 MAC 对 比 
一 致 ， 则 返回 验证 正确 结果 ， 若 验证 不 通过 ， 则 分 以 下 两 种 
情况 ， 第 一 种 为 AVAC 达到 阔 值 ， 则 直接 丢弃 该 帧 ， 第 二 种 
为 AVAC 未 达到 阔 值 ， 则 AVAC 与 FVV 都 递增 ， 再 次 执行 
MAC 验证 操作 。 

(f) SecOC 需要 将 返回 的 验证 结果 传递 给 FVM， 将 该 数 
据 帧 传递 到 上 层 应 用 或 对 应 的 ECU. 
3 ”安全 与 性 能 分 析 
3.1 安全 分 析 

本 章节 对 基于 SecOC 的 车 载 网 络 安全 通信 模型 的 安全 
性 进行 形式 化 分 析 。 
1) 设 E1、E2、E3 和 E4 分 别 为 2.1 节 中 分 类 的 ECUs 1 
至 ECUs 4 的 ECU 集合 ， 则 模型 中 的 总 ECU 集合 为 E-—El 
UE2UE3UE4， 则 声明 对 象 el,e2:E，(el,e2)EEXE。 

2) 设 ECU 的 id:ID, ECU 哈 希 指纹 集合 H, 则 存在 ECU 
与 其 对 应 的 哈 希 指纹 表 {id:ID;h:H},， (id,h)eIDXH。 

3) 设 新 鲜 度 值 集合 FV=={x:ZI0<x<max}， 声 明 对 和 象 
fv:FV., 

4) HSM 中 已 存储 密 钥 ko 

定理 1 ECU 安全 ， 修 改 固件 或 外 装 的 ECU 被 检测 出 来 

证 明 假设 现 有 一 个 被 注入 恶意 代码 、 修 改 固件 程序 或 
者 后 装 的 ECU fake 在 汽车 内 部 已 存在 ,在 点 火 时 经 过 HSM 
计算 将 指纹 h_fake 发 送 至 T-BOX 验证 , (id,h_fake) 关 (id,h) 或 
者 id!€ID/Ah fake! EH， 验 证 不 通过 则 报警 。 

定理 2 抗 重 放 攻 击 

证 明 ”假设 车 载 网 络 中 有 一 中 间 者 监听 到 一 个 报 文 后 多 
次 放 入 网 络 。 接 收 端 将 报 文 放 入 S ecOC 模块 验证 , 重 放 报 
文 的 新 鲜 度 值 为 fv fake& N, M FVM 中 接受 的 新 鲜 度 值 为 
fvEN, Œ MAC 验证 过 程 中 MAC fv fakez MAC fv, uE 
失败 ， 此 报 文 被 丢弃 。 

定理 3 gu oca 

证 明 假设 车 载 网 络 中 有 一 中 间 者 截获 一 个 报 文 ， 将 报 


点 输入 ， 拥 有 高 安全 性 和 高 效 性 ， 且 成 本 低廉 不 增加 设备 。 
3.2 性 能 分 析 
在 Linux 5.4 内 核 ,4G 运行 内 存 下 , 软件 测试 SHA-256、 
Blake2s-256 改进 HMAC 的 PBKDF2 5 Blake2s-PBKDF2 il 
算 效 率 如 表 2 所 示 ， 相 同 条 件 下 ，Blake2s 和 基于 Blake2s M 
进 的 Blake2s-PBKDF2 拥有 更 好 的 计算 效率 。 

表 2 软件 环境 中 的 效率 测试 


Tab.2 Efficiency testing in software environment 


men SHA-256 Blake2s- ”改进 HMAC 的 Blake2s- 
执行 轮 数 
/ms 256/ms PBKDF2/ms PBKDF2/ms 
1000 0.3 0.07 1 0.2 
10000 1.8 0.4 3 1 
100000 15.9 3.6 27 10 


将 本 研究 中 提出 的 基于 SecOC 的 车 载 网 络 安全 通信 模 
型 与 现 有 模型 对 比 ， 本 文 提供 了 更 全 面 的 安全 保障 ， 如 表 3 
所 示 。 


表 3 基于 SecOC 的 安全 模型 对 比 


Tab.3 Comparison of security models based on secoc 


模型 ”ECU 划分 消息 加 密 MAC ECU 认证 密 钥 管理 
文献 [4] 无 无 CAMC-AES 无 无 
文献 [6] 无 无 CAMC-AES X 初始 化 写 入 ECU 
根据 数据 从 本 地 
文献 [7] ^ DatalD AES | CMAC-AES/2B X 
密 钥 库 更 新 
文献 [13] ASIL 无 CMAC-AES/2B 无 初始 化 写 入 ECU 
初始 化 主 密 钥 、 
文献 [10 无 无 CMAC-AES/2B 
软件 生成 会 话 密 钥 
CMAC- 基于 主 密 初始 化 主 密 钥 、 
文献 [12 X X 
AES/2B 钥 认 证 AS 软件 分 发 会 话 密 钥 
基于 主 密 。 初始 化 写 入 ECU, 
文献 [17 X AES | HMAC-SHA/8B 
钥 认证 SKDC 分 发 会 话 密 钥 
CMAC-AES/ 
文献 [9] —DatalD X 无 初始 化 写 入 ECU 
28bit/44bit 
本 文 ASIL SM4 Blake2s 间 纹 值 ”BKDF 生成 、KS 分 发 
4 ”结束 语 


本 研究 分 析 并 总 结 现 有 国内 外 基于 SecOC 的 车 载 网 络 
保护 模型 的 不 足 之 处 , 提出 一 种 基于 SecOC 的 车 载 网 络 安全 


文中 载荷 的 DATA 域 数 据 部 分 修改 后 重 传 入 网 络 ， 接 收 端 验 
UER CH], DataToAuthenticat data fake-^DataToAuthenticat, 
Blake2s 计算 出 的 MAC 不 等 ， 验 证 不 通过 丢弃 此 报 文 。 
定理 4 抗 信息 窃听 
证 明 ”假设 车 载 网 络 中 有 一 中 间 者 要 窃取 汽车 信息 ， 截 
获 关键 ECU 或 系统 的 报 文 ， 本 研究 中 关键 数据 已 使 用 SM4 
加 密 ，En(k,Data)， 因 为 密 钥 在 HSM 安全 区 ， 中 间 者 无 法 获 
取 该 信息 。 
定理 5 密码 算法 安全 
证 明 本 研究 中 使 用 的 SM4 的 S 盒 的 表达 中 多 项 式 为 


4 


通信 模型 ， 模 型 中 根据 SAIL 将 ECU 划分 不 同 的 安全 等 级 ， 
更 好 地 利用 车 载 网 络 资源 ;基于 Blake2s 改进 现 有 的 PBKDF2 
算法 ， 在 启动 阶段 使 用 车 载 环境 的 真实 物理 参数 衍生 出 会 话 
密 钥 , 并 存储 在 HSM 模块 中 , 在 驾驶 期 间 有 效 ; 在 点 火 阶 段 
验证 通电 ECU 的 哈 希 指 纹 值 ， 在 通信 阶段 使 用 SM4 加 密 通 
信 数 据 ，Blake2s 生成 可 选 长 度 的 MAC 消息 验证 码 。 通 过 实 
验 和 分 析 证 明 ， 该 模型 计算 效率 高 ， 并 提供 更 全 面 的 安全 保 
护 ,符合 中 国信 通 院 提出 的 由 内 而 外 地 保护 车 联网 安全 要 求 。 

密 钥 管理 是 加 密 模 型 中 最 重要 的 一 环 ， 相 比 于 通过 会 话 
破解 密码 ， 直 接 从 设备 中 获取 密 钥 是 更 快捷 的 方式 ， 所 以 在 


录用 定稿 章 #, f: 


车 载 环 境 中 设计 加 密 步 又 ， 需 要 着 
而 本 研究 中 密 钥 管理 将 是 下 一 步 研 
钥 的 生成 ， 存 储 和 使 用 。 
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